By İsmail Mert Ay Ak

S4x19 Endüstriyel Kontrol Sistemleri Güvenliği Konferansı İzlenimlerimiz

Biznet Bilişim olarak, her geçen gün endüstriyel kontrol sistemleri (EKS) güvenliği alanında deneyimlerimizi ve uzmanlığımızı geliştirmeye devam ediyor ve endüstriyel kontrol sistemleri güvenliği alanında çalışmalarımızı hız kesmeden sürdürüyoruz.

2018 Kasım ayında özel sektör, kamu ve akademinin buluştuğu kritik altyapılar başta olmak üzere EKS ve SCADA altyapılarına ilişkin siber dayanıklılık konularının gündeme geldiği Türkiye’nin ilk Endüstriyel Kontrol Sistemleri Siber Güvenlik konferansımızı gerçekleştirmemizin ardından, bu konuda uluslararası konjonktürde gelişmeleri takip etmek, niş alanlar üzerinde deneyimler edinmek, ikili işbirlikleri kurarak hizmetlerimizi olgunluk seviyesini arttırmak, konunun uzmanları ile doğrudan temasta bulunarak fikir alışverişi yapmak ve EKS ile ilgili güncel konular üzerinde global yaklaşımları gözlemlemek amacıyla, Miami/Florida’da bu yıl dünyanın en büyük Endüstriyel Kontrol Sistemleri konferansı olan S4 ICS Security Event’e bu yıl ikinci kez katılım sağladık. Ülkemizde EKS güvenliğinin öneminin giderek arttığı bu dönemde, etkinlikte edindiğimiz izlenimleri sizinle paylaşmak istedik.

S4 ICS Security Event, ABD’de her yıl gerçekleştirilen, Endüstriyel Kontrol Sistemleri başta olmak üzere, IoT, IIoT konularının güvenliğine yönelik çalışma yapan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanların buluştuğu en büyük etkinliklerden biri olarak göze çarpıyor. Bu sene, 27 farklı ülkeden 529 katılımcının katıldığı S4x19 14-17 Ocak 2019 tarihleri arasında gerçekleştirildi. Etkinliğin ilk günü, temel OT güvenliği konularının ele alındığı OnRamp Training olarak adlandırılan eğitimle başlamış olup, devam eden 3 gün ise OT güvenliği ile ilgili bir çok farklı konudaki oturumlarla devam etti.

Aynı zamanda etkinlik boyunca gerçek bir EKS ve IIoT simülasyonu üzerinde bir CTF (Capture the Flag) yarışması düzenlendi. Hem firmaların hem de bireysel katılımcıların katıldığı bu yarışmada katılımcılar farklı segmentteki konularda uzmanlıklarını yarıştırdılar. Bu CTF’e ek olarak bir de Detection Challenge  adı verilen ve anomali tespit araçlarının yeteneklerinin ölçüldüğü ayrı bir yarışma daha düzenlendi. Bu yıl geçen seneden farklı olarak sadece iki farklı firma bu yarışmaya katılım gösterdi.

Konferans dahilinde gerçekleştirilen S4 Welcome Party, The Cabana Seasons ve Farewell Craft Beer Bash etkinlikleri EKS alanında çalışan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanlarla birebir görüşmek, bilgi paylaşımlarında bulunmak ve deneyimleri dinlemek açısından sosyal bir iletişim platformu sağlamada çok yararlı oldu.

Konferans üç farklı sahnede gerçekleştirildi; bu sahneler;

  • Main Stage, etkinliğin asıl oturumlarının, panellerinin yapıldığı sahne,
  • Sponsor Stage, etkinlik sponsorlarının bu alanda yaptıkları çalışmaları ve geliştirdikleri ürünleri anlattıkları sahne,
  • Stage 2, Technical Deep Dive olarak adlandırılan, konuya derinlemesine bir bakış açısı ile hazırlanmış sunumların ve demoların gerçekleştirildiği sahneler olarak açıklanabilir.

Konferans konularını bir başlık altında değerlendirirsek aşağıdaki başlıkları sayabiliriz;

  • EKS Olay Müdahale ve Tespit
  • OT Atakları ve Atak Yöntemleri
  • EKS Zafiyet ve Risk Yönetimi
  • Güvenli EKS Ağ Tasarımları ve Mimarileri
  • EKS Güvenlik Stratejileri
  • OT-SoC
  • IoT-IIoT Güvenliği
  • OT Protokolleri ve Güvenliği
  • Endüstri 4.0 Güvenlik Yaklaşımları

Yukarıdaki konular üzerinde yapılan sunumlar ve bu alanlar üzerinde çalışmalar yapan uzmanlarla bir araya gelerek bilgi birikimlerinden faydalanmak, Biznet Bilişim olarak EKS Güvenlik hizmetlerimizin geliştirilmesinde ve uluslararası boyutta yürütmekte olduğumuz çalışmaları ivmelendirmek açısından pozitif etkiler yarattı.

Konferansta gerçekleştirilen sunumlardan dikkat çeken birkaç başlığa da değinmek istedik.

  • Is The Purdue Model Dead? And What’s Next?

Güvenli EKS/SCADA ağ mimarisi olarak değerlendirilen Purdue Model üzerine yapılan bu oturum, teknolojinin gelişimi, etkileşimli OT ağlarının (Cloud, IIoT, Secure Remote Access, vb.)  gün geçtikçe artması ve üretici bazlı oluşturulan mimariler ile Purdue Model’in artık -best practice- olamayacağı konusunda bir tartışma olarak gerçekleştirildi. Bu konuda iki farklı görüşün çıkarımlarını dinlemek OT güvenlik mimarilerine yeni bir bakış açısı kazanmamıza olanak sağladı.

  • MITRE’s ICS ATT&CK (Adversary Tactics and Techniques)

MITRE’nin geliştirdiği ATT&CK, siber olay modellemesi, olay müdahale ve tespiti prosedürlerinin geliştirilmesi konusunda IT yapıları için geliştirilmiş TTP(Tactics, Techniques&Procedures) tabanlı risk modelleme platformudur. S4’de katıldığımız bu oturumda IT yapıları için hazırlanan ATT&CK modelinin EKS yapılarına uyarlanması konusunda yapılan çalışmayı dinlemek ve bu platformun EKS yapılarına uyarlanması konusunda edinilen bilgileri kendi hizmetlerimizin zenginleştirilmesi ve ATT&CK bakış açısını EKS yapıları için kazanılması konusunda fikirler edinmiş olduk.

  • A New CVSS for ICS

Bu sunumda ise uzun zamandır üzerinde çalıştığımız yeni bir risk değerlendirme yaklaşımının ele alındığı hali hazırda kullanılan CVSSv2 ve CVSSv3 standartlarının EKS zafiyetleri için yeterli olmadığı konusuna değinildi. EKS zafiyetlerinin geleneksel IT güvenliği temeli olan CIA üçlüsü dışında safety temelli ve riskin yaratabileceği etki çerçevesinde şekillendirilmesi gerektiği görüşleri değerlendirildi. Bu anlamda vermiş olduğumuz kritik altyapı güvenlik denetimlerinde risk değerlendirmesinde bu bakış açısından bakılarak, risklerin derecelendirmesinin daha faydalı olacağı görüşünü değerlendirmiş olduk.

Ayrıca, zafiyet araştırmaları konusunda yapılan teknik sunumlarda ve EKS güvenlik uzmanları ile yaptığımız birebir görüşmelerde, çeşitli testbed (Test Yatağı) örnekleri ve sürecin nasıl işletilmesi gerektiğine yönelik deneyimleri dinlemek, ülkemizde de bu alanda nasıl çalışmalar yapabileceğimiz ve nasıl bir süreç ile sürdürebileceğimiz konusunda çok yararlı oldu.

OT güvenlik çözümleri, anomali tespit ürünler konularında üreticilerle gerçekleştirdiğimiz görüşmeler ve izlediğimiz üretici sunumları sayesinde, birçok ürünün karşılaştırmasını, sağladığı avantajları değerlendirmemiz ve bu açıdan hizmetlerimizin geliştirilmesi konusunda kurabileceğimiz uluslararası iş birliklerini değerlendirme fırsatı bulduk.

S4x19’da yapılan CTF esnasında gerçekleştirilen ICS Detection Challenge’da ise anomali tespit ürünleri CTF ortamındaki tespitleri değerlendirildi. CTF ortamı üzerinde oluşturulan 300 GB’dan fazla trafik yakalanarak pcap haline getirilerek bu pcap’ler üzerinde yapılan anomali tespitinde, yarışan ürünlerin %100 oranında ağ görünürlüğünü nasıl sağladığı, tespit edebildikleri anormallikler ve verileri nasıl analiz ettiklerine yönelik bir sunum daha gerçekleştirildi. Bu sunumda da, anomali tespiti ürünleri değerlendirmek açısından faydalı çıkarımlar yapmamıza etki etti.